محمد بختیاری

سرویس گوگل چت برای جلوگیری از حملات فیشیگ به کاربران پیام هشدار نمایش خواهد داد

گوگل چت جایگزین Hangouts شده است. این سرویس به‌زودی درباره‌ی حملات احتمالی فیشینگ و بدافزارها پیام‌های هشداری به کاربران نمایش خواهد داد. این ویژگی جدید هم‌سو با تلاش‌های غول جست‌وجوی اینترنت برای جلوگیری از حملات فیشینگ ارائه خواهد شد.

به‌گزارش ورج، گوگل در رویداد توسعه‌دهندگان امسال خود I/O 2022 توضیحاتی درباره‌ی تدابیر امنیتی جدید برای افزایش ایمنی کاربران ارائه کرد که ازجمله می‌توان به هشدارهای امنیتی و ارائه‌ی توصیه‌هایی برای برطرف‌کردن آن‌ها اشاره کرد. گوگل با هدف بهبود امنیت در سرویس‌های خود، قابلیت‌هایی مثل احرازهویت دومرحله‌ای و سفارشی‌سازی تبلیغات و امنیت بیشتر در داده‌ها را ارائه کرده است.

پیام هشدار امنیتی در گوگل چت

مقاله‌های مرتبط:

پیام‌های هشداردهنده‌ی جدید گوگل برای اولین‌بار در سرویس جیمیل و در حساب‌های Workspace ارائه شد تا از تلاش‌های مهاجمان برای فریب‌دادن کاربران برای کلیک روی پیوندهای جعلی حاوی بدافزار یا فیشینگ جلوگیری کند. اواخر آوریل، این شرکت پیام‌های هشدار امنیتی را در سرویس Docs نیز ارائه کرد؛ قابلیتی که کاربران را از فایل‌های مخرب و مشکوک در برخی از برنامه‌های Workspace ازجمله سندنگار، اسلاید‌ها، Sheets و Drawing مطلع می‌کند.

درپایان، باید به این نکته اشاره کنیم که پیام‌های هشداردهنده‌ی امنیتی جدید گوگل در دو هفته‌ی آینده برای حساب‌های شخصی و همه‌ی مشتریان Workspace دردسترس قرار خواهد گرفت.

گوگل ابزار جدیدی برای افزایش امنیت پروژه‌های متن‌باز معرفی کرد

گوگل نرم‌افزار منبع‌باز (Open Source Software یا به‌اختصار OSS) جدیدی معرفی کرده است که به کاربران اجازه می‌دهد بسته‌های امنیتی این شرکت را در پروژه‌های خود اعمال کنند.

همان‌طور که DigitalTrends اشاره می‌کند، نرم‌افزارهای منبع‌باز همچنان اهداف محبوبی برای مجرمان سایبری هستند و همان‌طور که گوگل در اعلامیه‌ی خود اشاره کرده است، تعداد حمله‌های سایبری به تأمین‌کنندگان منبع‌باز، سالانه ۶۵۰ درصد افزایش یافته است. زنجیره‌های تأمین نرم‌افزار اغلب از کد منبع‌باز استفاده می‌کنند تا همیشه دردسترس باقی بمانند و سفارشی‌سازی کدهای آن‌ها نیز آسان باشد؛ به‌همین دلیل این زنجیره‌ها دربرابر حملات سایبری آسیب‌پذیر هستند.

البته گوگل تنها شرکتی نیست که درزمینه‌ی مقابله با حملات سایبری به نرم‌افزارهای منبع‌باز فعالیت می‌کند. این شرکت در کنار OpenSSF و بنیاد لینوکس درحال پیگیری ابتکارات امنیتی جدیدی است که در اجلاس اخیر کاخ‌سفید درمورد امنیت منبع‌باز مطرح شد. مایکروسافت نیز به‌تازگی راهکار جدیدی برای امنیت سایبری مطرح کرده است.

درگذشته، آسیب‌پذیری‌های امنیتی سایبری پرمخاطبی مثل Log4j و Spring4Shell وجود داشت. گوگل در تلاش برای جلوگیری از وقوع چنین حملاتی، اکنون Assured OSS را معرفی کرده است.

گوگل امیدوار است با Assured OSS امکان استفاده از بسته‌های OSS خود را برای کاربران سازمانی و همچنین کاربران عادی فراهم کند. از سوی دیگر، این شرکت قول می‌دهد که بسته‌های مدیریت‌شده‌ی این سرویس به‌طور منظم اسکن، آزمایش و تجزیه‌وتحلیل شوند تا اطمینان حاصل کند که هیچ‌ آسیب‌پذیری نمی‌تواند از خط دفاعی آن عبور کند.

گوگل CloudBuild

مقاله‌ی مرتبط:

همه‌ی بسته‌های امنیتی گوگل با سرویس Cloud Build این شرکت ساخته می‌شوند و بنابراین با سازگاری قابل تأیید ارائه خواهند شد. SLSA مخفف Supply-chain Levels for Software Artifacts است؛ چارچوب شناخته شده‌ای که هدف آن استانداردسازی امنیت زنجیره‌‌های تأمین نرم‌افزار است. هر بسته همچنین با تأییدیه‌ی گوگل امضا و با ابرداده‌ی مرتبط و همچنین داده‌های تجزیه‌وتحلیل گوگل ارائه می‌شود.

گوگل برای تمرکز بیشتر بر امنیت سایبری، همکاری جدیدی با SNYK (یک پلتفرم امنیتی توسعه‌دهندگام) آغاز کرده است. OSS از همان ابتدا با راهکارهای SNYK ادغام می‌شود و درنتیجه مشتریان هر دو شرکت می‌توانند از آن بهره ببرند.

گوگل همچنین به آماری خیره‌کننده اشاره کرد؛ تا ژانویه ۲۰۲۲ از میان ۵۵۰ پروژه‌ی منبع‌باز رایج که به‌طور منظم اسکن می‌شوند، بیش از ۳۶ هزار آسیب‌پذیری کشف شده است. این آمار به‌تنهایی نشان می‌دهد که مهار کردن آسیب‌پذیری‌ها در جامعه‌ی منبع‌باز چقدر اهمیت دارد. مطمئناً بسیاری از کاربران و حتی سازمان‌ها به پروژه‌های منبع‌باز محبوب نیاز دارند و شاید Assured OSS گوگل بتواند این پروژه‌ها را برای همه‌ی افرادی از آن‌ها استفاده می‌کنند، ایمن‌تر کند.

باگ AppGallery هواوی امکان دانلود رایگان اپلیکیشن‌های پولی را فراهم می‌کند

باگ AppGallery هواوی چند هفته پس از اینکه یکی از توسعه‌دهندگان آن را به هواوی گزارش داد، همچنان برطرف نشده است.

همان‌طور که Androidauthority اشاره کرده است، هواوی از زمان اعمال تحریم‌های ایالات متحده نمی‌تواند از فروشگاه گوگل‌پلی در گوشی‌های هوشمند اندروید خود استتفاده کند. هواوی برای رفع نیاز کاربران فروشگاه اختصاصی اپلیکیشن خود موسوم به AppGallery را توسعه داد که بخشی از مجموعه خدمات موبایلی این شرکت است.

دیلان روسل از توسعه‌دهندگان اندروید جدیدترین باگ فروشگاه AppGallery را کشف کرد. API این فروشگاه هیچ‌نوع حافظتی برای اپلیکیشن‌های پولی ارائه نمی‌دهد. با کمی کار و اندکی دانش فنی می‌توانید با استفاده از API این فروشگاه، لینک دانلود برنامه‌های پولی را به رایگان دریافت و بدون پرداخت هزینه را دانلود کنید.

روسل موفق شد با استفاده از آسیب‌پذیری کشف‌شده در AppGallery، چند اپلیکیشن پولی دانلود کند. وی خاطرنشان می‌کند که این مشکل از فعال نکردن تأیید مجوز در اپلیکیشن‌های توسعه‌دهندگان اپلیکیشن نیست و درواقع هواوی باید آن را رفع کند.

مقاله‌ی مرتبط:

این باگ نه‌تنها باعث کاهش درآمدهای بالقوه‌ی توسعه‌دهندگان خواهد شد، بلکه دریچه‌ای دردسترس برای دزدی از AppGallery محسوب می‌شود. مهاجمان می‌توانند با استفاده از API فروشگاه AppGallery هواوی، بدون نیاز به مراجعه به این فروشگاه و پرداخت پول، اپلیکیشن‌های پولی را به‌صورت کاملاً رایگان دانلود کنند.

روسل ماه فوریه این باگ را به هواوی گزارش داد. او به‌ آن‌ها پنج هفته فرصت داد تا مشکل را برطرف کنند. بااین‌حال، با گذشت چند هفته، نقص امنیتی AppGallery همچنان پابرجا است و افراد می‌توانند اپلیکیشن‌های پولی را به‌طور رایگان از این فروشگاه دریافت کنند. به‌نظر نمی‌رسد مدت زیادی طول بکشد تا هواوی این مشکل را برطرف کند. روسل به‌تازگی تأیید کرده یک شناسه برای آسیب‌پذیری مورد بحث اختصاص داده شده است. هواوی همچنین برای کشف این مشکل امنیتی، جایزه‌ای برای این توسعه‌دهنده درنظر گرفت ولی او به‌دلایلی این جایزه را نپذیرفت.

هکرها می‌توانند بدافزارها را حتی در فایل گزارش رویداد ویندوز مخفی کنند

گزارش رویداد ویندوز در تشخیص مشکلات امنیتی رایانه‌های شخصی به کاربران کمک می‌کند؛ بااین‌حال، محققان کسپرسکی با هکری مواجه شده‌اند که از گزارش رویداد علیه هدف خود استفاده کرده است.

به‌گزارش Techspot، هفته‌ی گذشته کسپرسکی تجزیه‌وتحلیل مفصلی از حمله‌ی پیچیده‌ای منتشر کرد که پاییز گذشته آغاز شد. این روش شامل ترکیبی از تکنیک‌ها و نرم‌افزارهای مختلف بود؛ اما محققان امنیتی این شرکت استفاده از گزارش رویدادهای ویندوز را به‌عنوان چیزی کاملاً جدید برجسته کردند.

در مرحله‌ای از کمپین هک، شخص مهاجم کد پوسته را در گزارش رویدادهای ویندوز هدف وارد کرد. این روش ذخیره‌‌‌ی بدافزار کاملاً مخفیانه است؛ زیرا هیچ فایلی برای شناسایی آنتی‌ویروس باقی نمی‌گذارد.

مخفی کردن بدافزار در گزارش رویداد ویندوز

مقاله‌های مرتبط:

همچنین، این کمپین شامل مجموعه‌ی بزرگی از نرم‌افزارهای تجاری و خانگی بود. این مورد شامل ربودن فایل DLL، یک تروجان، پوشش‌های ضدتشخیص، تقلید دامنه‌ی وب و… بود. مهاجم در این روش حتی برخی از نرم‌افزارهای سفارشی خود را شخصا امضا کرد تا قانونی‌تر به‌نظر برسد.

مقیاس و منحصر‌به‌فرد بودن حمله نشان می‌دهد برای سیستم هدف خاصی طراحی شده است. اولین مرحله شامل مهندسی اجتماعی بود که در آن، مهاجم قربانی را متقاعد کرد که فایلی rar را از وب‌سایت اشتراک‌گذاری فایل قانونی File.io دانلود و اجرا کند.

کسپرسکی نتوانست این حمله را به هیچ مظنون شناخته‌‌شده‌ای ارتباط دهد یا هدف نهایی آن را تعیین کند. بااین‌حال، محققان به BleepingComputer اعلام کردند حملات مشابه معمولاً با هدف گرفتن داده‌های ارزشمند قربانی انجام می‌شوند.

همکاری AMD و گوگل برای امنیت سایبری پردازنده‌های EPYC

بنابر گزارش تامزهاردور، شرکت‌های AMD و گوگل با انتشار اطلاعیه‌ای از همکاری عمیق و پیچیده‌ی خود با هدف تحقیقات در حوزه‌ی امنیت سایبری برای پردازنده‌های کلاس سرور EPYC ای‌ام‌دی خبر دادند. این کلاس از پردازنده‌ها پنج سال است که به بازار عرضه شده‌اند و هدفشان تأمین قدرت پردازشی سرورها است. براساس گزارش‌ها، این همکاری بی‌سابقه شامل دو تیم تحقیقات امنیت ابری گوگل به‌همراه تیم Project Zero، بازوی تحقیقات سایبری این شرکت، در‌کنار گروه فرم‌ور شرکت AMD بوده است.

هدف همکاری دو شرکت این است که حداکثر توانایی و قدرت پردازنده‌های ایمن و سخت‌افزار ای‌‌‌ام‌‌‌دی را ازطریق دسترسی بی‌سابقه به سورس کدها و مکانیزم‌های امنیتی بیازمایند. در گزارش جزئیات همکاری میان دو شرکت، کشف و رفع مجموعاً ۱۹ مورد آسیب‌پذیری امنیتی عنوان شد. بنابراین، ۱۹ مسیر حمله و نفوذ به یکی از پردازنده‌های سرور موفق‌ جهان شناسایی و مسدود شد.

تمرکز اصلی تحقیقاتی که روی نسل سوم پردازنده‌های EPYC ای‌ام‌دی موسوم به Milan اجرا شد، بر واحد پردازنده‌ی امن ای‌ام‌دی (AMD Secure Processor) معطوف شده است. ازاین‌رو، سورس کدهای دسترسی به پردازنده‌ی امن (ASP) به‌همراه نمونه‌های محصول برای آزمایش حملات سخت‌افزاری دراختیار مهندسان گوگل گذاشته شد.

آنچه برای گوگل جذاب به‌نظر می‌رسید، نسل جدید پیاده‌سازی Secure Nested Paging یا همان SEV-SNP‌ ای‌‌‌ام‌‌‌دی بود که ظرفیتی ایجاد می‌کند تا برای ماشین‌های مجازی (VM) امکان حفظ محرمانگی دربرابر هایپروایزر را نیز فراهم کند. تیم مهندسان طراحی و پیاده‌سازی سورس کدهای SEV را بازبینی کردند و کد تست اختصاصی نوشتند و آزمایش‌های امنیتی سخت‌افزار را راه‌اندازی کردند تا از این طریق آسیب‌پذیری‌های بالقوه را شناسایی کنند.

برنت هالینگزورث، رئیس بخش نرم‌افزاری EPYC شرکت AMD، به این نکته اشاره کرد که مشارکت بین گوگل و ای‌‌‌ام‌‌دی بهترین‌های این دو شرکت را کنار هم آورده است تا مسیرهای حملاتی را شناسایی کنند که پیش‌از این ناشناخته بوده‌اند و خلاقیت خود را برای کشف لایه‌های نفوذ چه ازنظر نرم‌افزاری و چه سخت‌افزاری به‌کار بگیرند.

پردازنده‌ی امن ای‌‌‌ام‌‌‌دی (ASP) یک هسته‌ی پردازده‌ی عمومی است که ویژگی‌های آن را تیم‌های سخت‌افزار و فرم‌ور ای‌‌‌ام‌‌‌دی ساخته‌اند و مانند ساختار تراشه در تراشه مسئولیت رمزگذاری داده‌های رمزنگاری‌شده را برعهده دارد.بااین‌حال، با افزایش هر لایه‌ی امنیتی، بردار حمله علیه این مکانیزم امنیتی متمرکز نیز بیشتر می‌شود و می‌تواند نقطه‌ی شکست بالقوه‌ای به‌وجود بیاید که تمام امنیت سیستم را رد کند.

همکاری ای ام دی و گوگل / AMD and Google Partnership

در این مرحله است که به‌گفته‌ی نلی پورتر، مدیر محصول گوگل کلاد، هدف همکاری گوگل و ای‌‌ام‌‌دی فقط نشان‌‌دادن آسیب‌پذیری‌های AMD نیست؛ بلکه تلاشی همه‌جانبه برای دو شرکت است تا قدرت دفاعی خود را دربرابر مهاجمان خلاق و ماهر تقویت کنند. تصور غالب این است که امنیت سایبری همواره یک قدم از مهاجمان و هکرها عقب‌تر است؛ درنتیجه، ای‌‌ام‌دی و گوگل قصد دارند با پیش‌روی در خط‌مقدم، معادله را برهم بزنند.

همکاری میان این دو شرکت زمانی شکل گرفت که گوگل پیشنهاد استفاده از خدمات محاسباتی محرمانه‌ی خود را به‌ ای‌‌ام‌‌‌‌دی داد؛ شرکتی که داده‌های مشتری را برای همیشه به‌صورت رمزنگاری‌شده نگه‌داری می‌کند. از‌‌آن‌‌جاکه وابستگی به خدمات رایانش ابری (از پردازش کارهای معمولی گرفته تا بازی‌های ابری و حتی سیستم‌عامل‌های برپایه‌ی رایانش ابری نظیر ویندوز ۳۶۵ مایکروسافت) روبه‌افزایش است، خطر ناشی از آسیب‌پذیری‌های احتمالی در زیرساخت‌های امنیتی می‌تواند باعث خسارات میلیاردها دلاری شود. باتوجه‌‌‌به نقش AMD در انجام تحقیقات، این شرکت کاملاً از مزایایی آگاه است که احتمال دارد از نتایج آن در بهبود محصولات آتی به‌کار گیرد.

مقاله‌های مرتبط:

این بررسی‌ها ممکن است نیاز به تغییر در رویکرد شرکت‌ها دربرابر محصولات و امنیتشان را برانگیزد. همچنین، حوادث مرتبط با امنیت سایبری در سال‌های اخیر ازنظر تعدد و تأثیر و پیچدگی شدت گرفته است و فقط میزان موفقیت حملات سایبری روبه‌افزایش است. همچنین، اخبار منتشر‌شده نشان می‌دهند فعالیت گروه‌های باج‌افزار بیشتر شده است. برای مثال، چندی پیش شرکت امنیت سایبری Secureworks توجه جهانی را به تجدید حیات گروه هک REvil جلب کرد.

درپایان باید بگوییم که امنیت سایبری امروزه به‌دلیل دیجیتالی‌شدن خدمات مختلف به‌خصوص خدمات مالی، به یکی از بخش‌های سازمانی مهم تبدیل شده است و همین‌ امر سبب می‌شود که شرکت‌های بزرگی مثل گوگل و AMD تمام ظرفیت‌های خود را برای پیشرفت در این عرصه به‌کار بگیرند.

انتقاد شدید متخصصان حریم خصوصی از طرح جدید اروپا برای اسکن پیام خصوصی کاربران در تلگرام و واتساپ

کمیسیون اروپا طرح بحث‌برانگیز جدیدی را پیشنهاد کرده که به موجب آن اپلیکیشن‌های پیام‌رسان نظیر تلگرام و واتساپ مجبور می‌شوند به‌شکل گزینشی پیام‌‌های خصوصی کاربران را با هدف یافتن مطالب فریب کودکان یا سوءاستفاده‌‌ی جنسی از آن‌ها اسکن کنند. طرح پیشنهادی جدید کمیسیون اروپا مشابه طرح‌هایی است که اپل سال گذشته به بحث گذاشت، بااین‌حال منتقدان می‌گویند رویکرد اروپا بسیار تهاجمی‌تر و سخت‌گیرانه‌تر است.

براساس آنچه The Verge می‌نویسد، چند روز قبل پیش‌نویس اولیه‌ی طرح کمیسیون اروپا توسط برخی رسانه‌ها فاش شد و کارشناسان حریم خصوصی مخالفت شدید خود را با آن اعلام کردند. متیو گرین، استاد حوزه‌ی رمزنگاری، در توییتی می‌نویسد لایحه‌ی جدید کمیسیون اروپا «وحشتناک‌ترین» چیزی است که به عمرش دیده و در پی پیاده‌سازی «پیچیده‌ترین سیستم جاسوسی انبوه در خارج از چین و اتحاد جماهیر شوروی» است. متیو گرین می‌گوید این ادعایش اصلا اغراق‌آمیز نیست و طرح جدید اروپا تا همین حد نگران‌کننده به نظر می‌رسد.

یان پنفرات، از اعضای گروه حقوق دیجیتالی اروپا، نگرانی خود را از طرح جدید ابراز کرده و گفته است این طرح «شبیه قانونی شرم‌آور برای جاسوسی عمومی است» و با حکومت‌های دموکراتیک سازگاری ندارد. بین پیش‌نویس فا‌ش‌شده و طرح نهایی تفاوت‌هایی دیده می‌شود، اما مقایسه‌ی مستقیم نشان می‌دهد این تفاوت‌ها جزئی‌اند.

طرح جدید اروپا یک‌سری تعهدات جدید به «ارائه‌دهندگان خدمات آنلاین» تحمیل می‌کند. دسته‌ی «ارائه‌دهندگان خدمات آنلاین» وسعت زیادی دارد و فروشگاه‌های اپلیکیشن، شرکت‌های هاستینگ و تمامی ارائه‌دهندگان «خدمات ارتباطی بین‌فردی» را در بر می‌گیرد.

سخت‌ترین تعهدات شامل حال سرویس‌های محبوبی نظیر واتساپ، تلگرام و سیگنال خواهد شد. اگر شرکتی از سوی اتحادیه‌ی اروپا «حکم بازرسی» دریافت کند، موظف به اسکن پیام‌های خصوصی شماری از کاربران می‌شود تا به‌دنبال مطالب مربوط به سوءاستفاده‌ی جنسی از کودکان، فریب آن‌ها و هرگونه درخواست مجرمانه از کودکان بگردد.

شرکت‌ها برای پیدا کردن مطالب حاوی فریب یا درخواست مجرمانه از کودکان باید سراغ ابزارهای مبتنی‌بر بینایی ماشینی و سیستم‌های هوش مصنوعی بروند تا افزون‌بر پیام‌ها، تصاویر را نیز تحلیل کنند.

اپل سال گذشته طرح مشابهی پیشنهاد داده بود که محدودیت بیشتری داشت. در طرح کمیسیون اروپا پیام‌رسان‌ها موظفند دنبال موارد ناشناخته‌ی سوءاستفاده‌ی جنسی از کودکان بگردند، اما در طرح اپل اسکن پیام‌ها صرفاً برای پیدا کردن نمونه‌های شناخته‌شده انجام می‌گرفت. پس از انتقادات فراوان به طرح اپل، این شرکت هرگونه ارجاع به طرح را از وب‌سایتش حذف و آغازبه‌کار آن را تا مدت‌زمانی نامعلوم به تعویق انداخت.

براساس طرح جدید، کشورهای مختلف اتحادیه‌ی اروپا می‌توانند به‌طور مستقل «حکم بازرسی» صادر کنند. کمیسیون اروپا می‌گوید این حکم‌ها برای کاهش نقض حریم خصوصی «به‌شکل هدفمند و به‌طور مشخص» صادر می‌شوند. این کمیسیون نگفته که منظورش از صدور هدفمند حکم‌ها چیست؛ ممکن است این حکم‌ها فرد یا گروه خاصی را هدف قرار دهند یا این‌که افراد بیشتری را در بر بگیرند.

مقاله‌های مرتبط:

منتقدان می‌گویند حکم‌های بازرسی اتحادیه‌ی اروپا ممکن است به شیوه‌ای گسترده و تهاجمی برای هدف‌قراردادن طیف وسیعی از کاربران استفاده شود. یک تحلیلگر می‌گوید طرح جدید «درها را برای پیاده‌سازی سیستم جاسوسی عمومی به‌طور کامل باز می‌گذارد.»

کارشناسان حریم خصوصی می‌گویند پیش‌نیاز مطرح‌شده در طرح اتحادیه‌ی اروپا ممکن است سیستم رمزنگاری سرتاسری را تضعیف کند یا به‌طور کامل از بین ببرد. طرح اروپا به‌طور صریح خواستار پایان خدمات رمزنگاری نشده است، اما متخصصان می‌گویند ملزم کردن شرکت‌ها به نصب نرم‌افزارهای مدنظر اتحادیه‌ی اروپا روی سیستم‌های مدیریتی، رمزنگاری سرتاسریِ مؤثر را اساسا غیرممکن می‌کند.

به دلیل تأثیرات اتحادیه‌ی اروپا روی سیاست‌های دیجیتالی در دیگر نقاط جهان، ممکن است طرح‌های مشابهی از سوی دیگر کشورها نیز ارائه شود.

یکی از اعضای مؤسسه‌ی Electronic Frontier Foundation می‌گوید به‌غیر از نظارت انبوه دولت‌ها روی پیام‌های خصوصی کاربران، هیچ راهی برای عملی کردن پیش‌نیازهای طرح جدید اتحادیه‌ی اروپا وجود ندارد:‌ «در صورت تبدیل شدن این طرح به قانون، شاهد فاجعه‌ای برای حریم خصوصی خواهیم بود؛ نه‌تنها در اتحادیه‌ی اروپا بلکه در تمام مناطق جهان.»

منتقدان همچنین به اهداف کمیسیون اروپا ازطریق طرح جدید انتقاد کرده‌اند. کمیسیون اروپا می‌گوید به‌دنبال پیدا کردن نمونه‌های فریب کودکان یا سوءاستفاده‌ی جنسی از آن‌ها است. کارشناسان می‌گویند عملی کردن این اهداف نیازمند استفاده از اسکنرهای الگوریتمیک است و ابزارهای این چنینی مستعد خطا هستند و در صورت بروز خطا حقوق افراد بی‌گناه ضایع می‌شود.

گوگل قابلیت امنیتی جدیدی برای شناسایی فیشینگ در برنامه‌های Docs، Sheets و Slides ارائه کرد

گوگل علاوه‌بر از به‌روزرسانی‌های مربوط به حریم خصوصی و امنیت که در کنفرانس I/O امسال به آن‌ها اشاره کرد، اکنون در مجموعه برنامه‌های بهره‌وری خود ازجمله Docs، Sheets و Slides، قابلیتی برای محافظت از کاربران دربرابر فیشینگ ارائه می‌دهد. این شرکت همچنین اعلام کرد کاربران از این پس به‌طور مستقیم در نمایه‌ی کاربری خود از سایر مشکلات امنیتی احتمالی مربوط به حساب‌های کاربری مطلع خواهند شد. ابزار جدید گوگل همچنین درخواست حذف اطلاعات شخصی کاربران از جستجوی گوگل را آسان‌تر می‌کند.

به گزارش Techcrunch، گوگل قبلا فناوری‌های مختلفی برای محافظت از کاربران دربرابر کلاهبرداری‌های فیشینگ در محصولات و خدمات خود ازجمله جیمیل و کروم توسعه داده است. این شرکت می‌گوید قابلیت‌های حفاظتی آن تا به‌امروز میلیاردها تهدید را شناسایی و مسدود کرده‌اند که این مورد به تقویت بیشتر حفاظت‌های مبتنی‌بر هوش مصنوعی کمک کرده است و غول جستجوی اینترنت به‌همین‌ دلیل اکنون می‌تواند چنین سطحی از محافظت را در سایر برنامه‌هایی که افراد معمولاً برای کار از آن‌ها استفاده می‌کنند ارائه دهد.

به‌زودی اگر کاربران روی سندی کار کنند که گوگل در آن پیوند مشکوکی شناسایی کند، به آن‌ها درمورد مشکل مورد اشاره هشدار داده خواهد شد و در او را به مسیر امن هدایت خواهد کرد. این شرکت خاطرنشان می‌کند قابلیت امنیتی جدیدش به افزایش ایمنی کاربر درمیان تعداد فزاینده‌ی کلاه‌برداری‌های فیشینگ که اکنون مسئول بیش از ۹۰ درصد حملات سایبری اخیر هستند، کمک خواهد کرد.

قابلیت امنیتی جدید گوگل برای هشدار درمورد فیشینگ

گوگل اکنون درمورد سایر مشکلات امنیتی هنگام کار با سرویس‌های مختلف خود، کاربر را از آن مطلع خواهد کرد.

Guemmy Kim مدیر امنیت حساب‌های کاربری گوگل گفت:

ما اولین شرکت فناوری بوده‌ایم که بیش از ۱۰ سال پیش تأییدیه‌ی دومرحله‌ای ارائه دادیم و سال گذشته نیز اولین شرکتی بودیم که این ویژگی را به‌طور پیش‌فرض فعال کردیم. ما هرگز نمی‌خواهیم کاربران نگران امنیت حساب‌های خود باشند و بنابراین با ارائه‌ی قابلیت‌های امنیتی جدید، هشدارهای مربوطه را به کاربر ارسال خواهیم کرد. در این شرایط کاربران متوجه خواهند شد که حساب آن‌ها احتمالاً با مشکل امنیتی مواجه شده است.

هشدار امنیتی گوگل روی گوشی

گوگل اعلام کرد فقط در سال گذشته ۱۵۰ میلیون حساب کاربری فعال، قابلیت راستی‌آزمایی دومرحله‌ای را فعال کرده‌اند.

گوگل در I/O ۲۰۲۲ همچنین Protected Computing را معرفی کرد؛ ابزاری که برای به‌حداقل رساندن ردپای داده‌های کاربران، شناسایی داده‌ها و محدود کردن دسترسی به داده‌ها طراحی شده است. این ویژگی در برنامه‌ی Mesages و سرویس ترجمه‌ی زنده در گوشی‌های پیکسل نیز ارائه خواهد شد.

گوگل همچنین اعلام کرد به کاربران اجازه می‌دهد اطلاعات تماس شخصی خود ازجمله شماره تلفن، آدرس ایمیل یا آدرس فیزیکی را از سرویس جستجوی این شرکت حذف کنند. این تغییر به‌دنبال تصویب قانون حفاظت از داده‌های عمومی توسط اتحادیه‌ی اروپا در سال ۲۰۱۸ اعمال شده است؛ قانونی که به افراد این حق را می‌دهد که اطلاعات مربوط به خود را از موتورهای جستجو حذف کنند.

اقدامات پیشگیرانه کاخ‌سفید برای جلوگیری از رمزگشایی به‌کمک رایانش کوانتومی

به‌گزارش وب‌سایت zdnet، کاخ‌سفید درباره‌ی قدرت رایانه‌های کوانتمی در شکستن فایل‌های رمزنگاری‌شده ابراز نگرانی و پیشنهادهایی برای اجرای اقدامات پیشگیرانه ارائه کرد. همه می‌دانیم هر‌کسی که در رقابت رایانش کوانتمی پیروز شود، می‌تواند در سطح بین‌المللی برای سیستم‌های امنیتی تهدید به‌شمار رود. بنابراین، کاخ‌سفید با انتشار بیانیه‌ای، پیشنهادهایی برای حفظ جایگاه ایالات متحده به‌عنوان سردمدار میدان رقابت جهانی رایانش کوانتومی و درعین‌حال کاهش خطرها شکستن کلید عمومی رمزنگاری به‌واسطه این فناوری ارائه کرد.

توانایی کامپیوترهای کوانتومی امروزی هنوز به‌اندازه‌ای نیست که از عهده‌ی شکستن کلید عمومی رمزنگاری برآیند؛ اما به‌محض اینکه تا این حد رشد کنند و قدرتمند شوند، به یکی از معضلات بزرگ‌ امنیتی مالی و اطلاعاتی در سطح بین‌المللی تبدیل خواهد شد. برخی پروژه‌ها مثل OpenSSH اقدامات پیشگیرانه‌ای اتخاذ کردند تا فعالیت‌های مهاجمانی را خنثی کنند که داده‌های رمزنگاری‌شده را سرقت می‌کنند تا در آینده با کمک رایانه‌های کوانتومی آن‌ها را رمزگشایی کنند.

تا این لحظه، مقام‌های رسمی ایالات متحده هیچ استانداردی را برای رمزنگاری مقاوم دربرابر رایانش کوانتومی ارائه نکرده‌اند. دولت جو بایدن در ابلاغیه‌ای تمایل خود را برای حفظ جایگاه ایالات متحده در علم اطلاعات کوانتومی (QIS) نشان داده است. همچنین جداول زمانی و مسئولیت‌هایی برای آژانس‌های فدرال تبیین شده است تا براساس آن اکثر سیستم‌های رمزنگاری ایالات متحده را به رمزنگاری مقاوم دربرابر رایانش کوانتومی منتقل کنند.

هنوز ضرب‌الاجل دقیقی برای مهاجرت به رمزنگاری پساکوانتومی مشخص نشده است؛ اما کاخ‌سفید به‌طور‌کلی انتظار دارد ایالات متحده تا سال ۲۰۳۵ سیستم‌های رمزنگاری را به سیستم‌های مقاوم دربرابر رایانه‌های کوانتومی رمزتحلیلی (Cryptanalytically-Relevant Quantum Computer) منتقل کند و خطر کوانتومی را تاحدممکن کاهش دهد. رایانه‌های کوانتومی رمزتحلیلی به رایانه‌های کوانتومی‌ای گفته می‌شوند که اندازه و ورزیدگی کافی را برای شکستن بخشی بزرگی از کلیدهای عمومی رمزنگاری‌شده دارند.

تغییر رویه‌ی سیستم‌های ایالات متحده تمام بخش‌ها را ازجمله اقتصاد، دولت، زیرساخت‌های حیاتی، کسب‌وکارها، ارائه‌دهنده‌های سرویس ابری و اساساً هرجایی که رمزنگاری کلید عمومی کاربرد دارد، تحت‌تأثیر قرار خواهد داد. مکانیزم‌های حفاظتی ابلاغیه ممکن است اقدامات ضدجاسوسی و بازرسی صادرات را نیز دربر بگیرد. ابلاغیه رمزنگاری کوانتومی به‌دنبال فعالیت‌های مرکز امنیت سایبری ناتو برای آزمایش جریان‌های ارتباطی ایمن دربرابر نفوذ حملات اجرایی ازطریق رایانش کوانتومی منتشر شد.

کامپیوتر کوانتومی گوگل

این فوریت مجدد از آن‌‌جایی جان دوباره گرفت که چین در‌زمینه‌ی رایانش کامپیوتری پیشرفت‌های بسیاری کرد. دانشمندان چینی سال گذشته دو رایانه کوانتومی را آزمایش کردند و مدعی شدند این رایانه‌ها توانسته‌اند محاسبات پیچیده‌تری را درمقایسه‌با رایانه کوانتومی ۵۴ کیوبیتی Sycamore گوگل در سال ۲۰۱۹ پردازش کند. اکتبر ۲۰۲۱ (مهر ۱۴۰۰) مقام‌های امنیتی ایالات متحده رایانش کوانتومی را بین پنج تهدید مهم خارجی طبقه‌بندی کردند که فهرست آن شامل هوش مصنوعی، بیوتکنولوژی، نیمه‌رساناها و سیستم‌های خودمختار می‌شود.

با وجود مشخص‌نشدن تاریخ دقیق ضرب‌الاجل برای مهاجرت بین سیستم‌ها، تفاهم‌نامه‌ی کاخ‌سفید نقش‌ها و شیوه‌ی گزارش‌دهی نیازمندی‌ها و تاریخ‌های مهمی را برای آزانس‌های فدرال معین کرده است. مدیران مؤسسه‌ی ملی استاندارد و فناوری (NIST) و آژانس امنیت ملی (NSA) در حال توسعه‌ی معیارها و استانداردهای رمزنگاری مقاوم دربرابر کوانتوم هستند. نخستین مجموعه از این استانداردها تا سال ۲۰۲۴ دردسترس عموم قرار خواهد گرفت.

مقاله‌های مرتبط:

در ۹۰ روز آینده، وزارت بازرگانی ایالات متحده با همکاری مؤسسه‌ی ملی استاندارد و فناوری گروهی را شامل فعالان صنعت، زیرساخت‌های حیاتی و… ایجاد خواهند کرد تا چگونگی به‌کارگیری رمزنگاری مقاوم دربرابر رایانش کوانتومی را پردازش کنند. همچنین در یک سال آتی، رؤسای آژانس‌های Federal Civilian Executive Branch که تمام آژانس‌های فدرال به‌غیر از وزارت دفاع و امنیت و اطلاعات را شامل می‌شوند، باید فهرستی از سیستم‌های آسیب‌پذیر دربرابر رایانش کوانتومی رمزتحلیلی (CRQC) به آژانس امنیت سایبری و امنیت زیرساخت (CISA) و مدیر ملی سایبری ارائه کنند.

این فهرست روش‌های رمزنگاری استفاده‌شده در سیستم‌ها و پروتکل‌های مدیر سامانه و نرم‌افزارها و فرم‌ورهای غیرامنیتی را دربر می‌گیرد که به به‌روزرسانی نیاز دارند.

ناگفته نماند ابلاغیه‌ای به‌دست آژانس‌های FCEB رسیده است که آن‌ها را از خرید هرگونه سیستم رمزنگاری مقاوم دربرابر کوانتوم منع می‌کند تا زمانی‌ که مؤسسه‌ی ملی استاندارد و فناوری اولین مجموعه از استانداردهای مهم این فناوری را منتشر کند و تمامی استانداردها در محصولات تجاری رعایت شوند. البته آژانس‌ها مجوز آزمایش محصولات تجاری را به‌تنهایی و در محیط ایزوله دریافت کردند.

دیدگاه شما کاربران زومیت درباره‌ی آینده رایانش کوانتومی و خطرهای آن چیست؟

فناوری FIDO و همکاری اپل، گوگل و مایکروسافت برای حذف رمزعبور

به‌نقل از وب‌سایت ورج، شرکت‌های اپل و گوگل و مایکروسافت به‌زودی سازوکاری را اجرا می‌کنند که بدون نیاز به رمزعبور بتوان وارد حساب کاربری شد. درواقع، غول‌های فناوری در تلاش برای استفاده از فناوری کلید خصوصی FIDO در سال جاری هستند.

هفته‌ی گذشته، شرکت‌های اپل و گوگل و مایکروسافت با انتشار بیانیه‌ای، از همکاری همه‌جانبه‌ی خود برای ایجاد فرایند ورود به حساب کاربری بدون رمزعبور در تمام دستگاه‌های قابل‌حمل و رومیزی اعم‌از لپ‌تاپ، گوشی هوشمند و کامپیوتر و مرورگرهای اختصاصی در سال جاری میلادی خبر دادند. بدین‌ترتیب، در آینده‌ای نزدیک احراز هویت بدون رمزعبور در تمام پلتفرم‌های بزرگ نظیر سیستم‌عامل‌های ویندوز، مک‌او‌اس، اندروید و آی‌او‌اس و مرورگرهای کروم و اج و سافاری اجرایی می‌شود.

بنابر مقاله‌ی منتشر‌شده در بلاگ گوگل، فرایند ورود به سیستم بدون رمزعبور به کاربران امکان می‌دهد که از دستگاه گوشی هوشمند خود برای ورود به اپلیکیشن‌ها و وب‌سایت‌ها و دیگر سرویس‌های دیجیتال بهره‌مند شوند. به‌بیان دیگر، بازکردن قفل گوشی به هر روشی که کاربر تنظیم کرده است، از واردکردن پین گرفته تا الگو یا اثرانگشت، برای ورود و استفاده از سایر سرویس‌های اینترنتی بدون نیاز به رمزعبور مجزا و با کمک به‌کارگیری از توکن رمزنگاری‌شده مخصوصی با نام «Passkey» امکان‌پذیر خواهد شد.

فناوری فایدو / FIDO Technology

هدف از اینکه فرایند ورود به سیستم مشروط به دستگاه‌های فیزیکی شود، فقط افزایش سرعت و سادگی و صدالبته امنیت اطلاعات کاربران است. با حذف رمزعبور دیگر به حفظ نام کاربری و رمزهای مختلف برای دسترسی به خدمات متفاوت نیازی نیست و خطر استفاده از رمزعبور یکسان برای چندین سرویس مختلف نیز ازبین می‌رود. درواقع، سیستم بدون رمز کار هکرها را برای نفوذ از راه دور بسیار سخت می‌کند؛ زیرا برای دسترسی به حساب قربانی باید دستگاه فیزیکی آن را دراختیار داشته باشند. ازنظر تئوری، حملات فیشینگ برای دستیابی به رمزعبور تقریباً خنثی می‌شوند و به مراحل پیچیده‌تری نیاز خواهند داشت.

قابلیت بین‌پلتفرمی با به‌کارگیری فناوری FIDO (فایدو خوانده شود)، سرواژه‌ی عبارت Fast ID Online، ممکن شده است و از منشأ رمزنگاری کلید عمومی استفاده می‌کند تا احراز هویت بدون رمزعبور و احراز هویت چندمرحله‌ای را در طیف وسیعی از پلتفرم‌ها تحقق ببخشد. گوشی کاربر می‌تواند کلید عبور سازگار با فایدو را ذخیره کند و زمانی که قفل گوشی باز است، آن را برای احراز هویت در وب‌سایتی، با آن وب‌سایت اشتراک‌گذاری کند.

مقاله‌های مرتبط:

براساس مقاله‌ای که گوگل منتشر کرده است، درصورت گم‌شدن گوشی می‌توان کلید عبور را روی دستگاهی جدید ازطریق بکاپ در فضای ابری همگام‌سازی کرد. اگرچه اپلیکیشن‌های محبوب بسیاری از احراز هویت فایدو پشتیبانی می‌کنند، ورود اولیه به سیستم همچنان به استفاده از رمزعبور نیاز دارد تا بعدازآن بتوان تنظیمات مربوط به فایدو را انجام داد. بنابراین، کاربران هنوز درمعرض خطر حملات فیشینگ رمزعبور قرار خواهند گرفت.

تاکنون، اپل و گوگل و مایکروسافت اعلام کرد‌‌ه‌اند که سازگاری با این قابلیت جدید در سال آینده میلادی در سراسر پلتفرم‌ها اجرا خواهد شد؛ البته هنوز نقشه‌راه دقیقی از اجرای این فناوری منتشر نشده است و فقط می‌دانیم طرحی که برای حذف رمزعبور در چندین سال گذشته فرازونشیب‌های فراوانی را طی کرده، بالاخره وقوعش نزدیک است و نشانه‌هایی از موفقیت احتمالی آن را می‌توان مشاهده کرد.

دیدگاه شما کاربران زومیت درباره‌ی حذف رمزعبور و استفاده از دستگاه دیجیتال برای ورود به سامانه‌ها چیست؟

اندروید ۱۳ دسترسی بدافزارها به APIهای Accessibility را غیرممکن می‌کند

اندروید برای مدت زیادی همیشه با مشکل بدافزارها مواجه بوده است و یکی از روش‌های مهم هکرها، حمله ازطریق سرویس‌های دسترسی‌پذیری گوشی‌های هوشمند است. API‌های دسترسی‌پذیری ابزارهای قدرتمندی هستند که برای توسعه‌دهندگان در نظر گرفته شده‌‌اند تا با استفاده از آن‌ها به کاربران معلول کمک کنند. این ابزارها امکاناتی مثل خواندن محتوای روی صفحه و واردکردن ورودی‌ها را دردسترس این دسته از کاربران قرار می‌دهد.

درمقابل، مجرمان سایبری با سوءاستفاده از این ابزارها، بدافزارهایی مثل FluBot را توسعه داده‌اند که با فریب‌دادن کاربران از آن‌ها درخواست می‌کند امکان استفاده از API دسترسی‌پذیری را فعال کنند. بااین‌حال، این مسئله در اندروید ۱۳ تغییر خواهد کرد؛ زیرا گوگل قصد دارد از اعطای مجوز فعال‌کردن APIهای دسترسی‌پذیری به اپلیکیشن‌هایی جلوگیری کند که خارج از فروشگاه پلی نصب شده‌اند.

XDA به‌نقل از Esper می‌نویسد گوگل امکان استفاده از APIهای دسترسی‌پذیری را به برنامه‌های جانبی‌ای نخواهد داد که خارج از فروشگاه پلی‌استور روی دستگاه‌های اندرویدی نصب شده‌ باشند. این APIها برای کاربران معلول جسمی بسیار ضروری است؛ اما درعین‌حال، امکان سوءاستفاده از آن وجود دارد. به‌همین‌دلیل، کاربر باید امکان دسترسی به APIهای دسترسی‌پذیری را برای هر اپلیکیشن به‌طور دستی فعال کند.

در این شرایط، اپلیکیشن‌های مخرب می‌توانند با فریب‌دادن کاربر به این ابزار قدرتمند دسترسی پیدا کنند. این موضوع باعث شده است گوگل امکان فعال‌کردن دسترسی به این APIها را برای برنامه‌هایی غیرفعال کند که ازطریق مرورگر وب نصب شده‌اند.

دسترسی پذیری اندروید 13

مقاله‌های مرتبط:

از مدت‌ها قبل، گوگل تلاش‌های زیادی برای جلوگیری از سوءاستفاده‌ی اپلیکیشن‌ها از ابزارهای دسترسی‌پذیری انجام داده است. در سال ۲۰۱۷، این شرکت اعلام کرد اپلیکیشن‌هایی که از APIهای دسترسی‌پذیری اندروید برای مواردی غیر از کمک به کاربران معلول استفاده می‌کنند، از فروشگاه گوگل پلی حذف خواهد کرد. البته این شرکت درنهایت از این اقدام صرف‌نظر و سپس سیاست‌هایش را در سال ۲۰۲۱ به‌روزرسانی کرد.

اکنون توسعه‌دهندگانی که قصد دارند از خدمات دسترسی‌پذیری اندروید برای مواردی غیر از کمک به کاربران معلول استفاده کنند، باید تأییدیه‌ی آن را از گوگل دریافت کنند. بااین‌حال، به‌نظر می‌رسد باردیگر قرار است همه‌چیز در اندروید ۱۳ تغییر کند. در این سیستم‌عامل هر اپلیکیشنی که خارج از فروشگاه گوگل‌پلی روی دستگاه‌ نصب شود، نمی‌تواند از APIهای دسترسی‌پذیری استفاده کند. اگر بخواهید دسترسی به این ابزار را برای چنین اپلیکیشن‌هایی فعال کنید، گوشی هوشمندتان پیغامی با عنوان «برای امنیت شما این تنظیم درحال‌حاضر دردسترس نیست» مواجه خواهید شد.

اگرچه ممکن است این تغییر در ابتدا برای فروشگاه‌های اپلیکیشن شخص‌ ثالث نگران‌کننده باشد، گوگل در گفت‌وگو با Esper تأیید کرد این اقدام روی اپلیکیشن‌هایی تأثیر نخواهد گذاشت که از قبل نصب شده‌اند. به‌طور خلاصه، با فعال‌کردن سرویس دسترسی‌پذیری برای اپلیکیشنی جانبی که از API نصب‌کننده‌ی مبتنی‌بر جلسه‌ (Session-based Package Installation API) روی دستگاه نصب شده است، مشکلی نخواهید داشت.

این روش نصب معمولاً در فروشگاه‌های اپلیکیشن شخص‌ ثالث اندروید استفاده می‌شود. همچنین، اپلیکیشن‌هایی که از APIهای دیگر برای نصب بهره می‌برند، امکان دسترسی به ابزارهای اشاره‌شده را نخواهند داشت. اجرای این روش برای توسعه‌دهندگان آسان‌تر است؛ زیرا می‌توان نصب اپلیکیشن‌ها را به نصب‌کننده‌ی داخلی سیستم واگذار کرد.